CISA KEV 警告 25/06/09:Erlang SSH/Roundcube の脆弱性を登録

CISA Adds Erlang SSH and Roundcube Flaws to Known Exploited Vulnerabilities Catalog

2025/06/10 TheHackerNews — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Erlang/Open Telecom Platform (OTP) SSH および Roundcube に影響を与える2つの脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

それぞれの脆弱性の詳細は以下の通りである:

  • CVE-2025-32433 (CVSS:10.0):Erlang/OTP SSH サーバの重要な機能に存在する、認証の欠落による脆弱性。この脆弱性の悪用に成功した攻撃者は、有効な認証情報を必要とせずに任意のコマンドを実行し、未認証のリモートコード実行も可能性を得る。この脆弱性は、2025年4月にリリースされた、バージョン OTP-27.3.3/OTP-26.2.5.11/OTP-25.3.2.20 で修正されている。
    .
  • CVE-2024-42009 (CVSS:9.3):RoundCube Webmail に存在するクロスサイト・スクリプティング (XSS) の脆弱性。
    この脆弱性を悪用するリモートの攻撃者は、”/actions/mail/show.php” 内のサニタイズ処理の不具合を悪用して、被害者のメールを窃取/送信することを可能にするとされる。この脆弱性は、2024年8月にリリースされた、バージョン1.6.8/1.5.8 で修正されている。

現在のところ、これらの脆弱性を悪用する人物と、その方法について、詳細は公表されていない。先月に ESET が明らかにしたのは、ロシア由来の脅威アクターとして知られる APT28 が、Roundcube/Horde/MDaemon/Zimbra の複数の XSS 脆弱性を悪用して、東欧の政府機関や防衛企業を攻撃したことである。ただし、脆弱性 CVE-2024-42009 の悪用と、この活動との関連性は不明である。

Censys のデータによると、340台の Erlang サーバが脆弱性に直面しているが、すべてのインスタンスが必ずしも脆弱とは言えないようだ。なお、CVE-2025-32433 の情報が公開された直後に、複数の PoC エクスプロイトがリリースされている。

ーーーーー

拘束力のある運用指令 (BOD) 22-01:米国政府の FCEB 機関は、このカタログに記載された脆弱性に対して、定められた期間で対処する必要がある。CISA は連邦政府機関に対して、2025年6月30日までに、これらの脆弱性を修正するよう命じている。

また別の動向として、WordPress 用の PayU CommercePro プラグインに存在するアカウント乗っ取り脆弱性 CVE-2025-31022 (CVSS:9.8)が、Patchstack より報告されている。この脆弱性は、現時点では未修正であり、それを悪用する攻撃者は、認証を必要とすることなく、任意のユーザー・アカウントの制御を手にするという。

管理者アカウントを乗っ取られた場合には、攻撃者にサイト全体が支配され、悪意の操作が可能になるため、深刻な結果につながる可能性がある。PayU CommercePro プラグインは、アクティブなインストール数が 5,000件を超える人気プラグインである、この脆弱性は、バージョン 3.8.5 未満に影響を及ぼす。

脆弱性 CVE-2025-31022 は、/payu/v1/get-shipping-cost というエンドポイントから呼び出される、update_cart_data() 関数に起因する。この関数は、指定されたメール・アドレスの有無を確認し、存在すれば注文処理を実行するものだ。

ここでの問題は、チェック対象となるメール・アドレスが “commerce.pro@payu[.]in” にハードコーディングされ、任意のメールに対するトークンが “/payu/v1/generate-user-token” により生成される点にある。したがって、この仕組みを悪用する攻撃者は、任意のアカウント乗っ取りの機会を得る。

パッチが提供されるまでの期間において、ユーザーに推奨されるのは、このプラグインの無効化もしくは削除となる。

Patchstack は、「未認証の REST API エンドポイントが、過剰にアクセス許可を与えていないことを確認する必要がある。また、メール・アドレスのような動的かつ機密な情報を、コード内にハードコーディングすることは避けるべきだ」と警告している。

Erlang/OTP と Roundcube の深刻な脆弱性が、CISA の KEV カタログ入りとなりました。認証不要の RCE や XSS は影響が大きく、PoC も出回っているとのことです。ご利用のチームは、十分に ご注意ください。なお、WordPress PayU CommercePro プラグインの脆弱性は、CISA KEV とは無関係でした。よろしければ、CISA KEV ページを、ご参照ください。